The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Привязка IP к MAC адресу
Я сделал так (идею тоже нашел на этом сайте):

1. Создал файл б/д привязки IP к MAC (например /etc/ethers.local)
             Пример строк из файла:
                 192.168.0.11 00:0c:6e:3f:cd:e5 #kasa2
                 192.168.0.12 00:0d:88:82:da:a2 #mobil
                         и т. д.
2. Написал скрипт такого содержания: (например /etc/static.arp):

         #!/bin/sh
         # обнуляем всю таблицу arp
         arp -ad > null
         # к каждому компу в локальной сети привязываем несуществующий (нулевой)                
         # MAC адрес
         I=1
         while [ $I -le 254 ]
         do
               arp -s 192.168.0.${I} 0:0:0:0:0:0
               I=`expr $I + 1`
         done
         #  к реально существующему компу в сети из базы данных в файле
         # /etc/ethers.local  привязываем
         #  правильный MAC адрес
         arp -f   /etc/ethers.local

3. Делаем этот файл исполняемым и прописываем в файл /etc/rc.local такую
    строчку:

             /etc/static.arp

     Еще желательно, чтобы привязки имен юзерских хостов к ip-адресам были
     прописаны в /etc/hosts (это ускорит их поиск). Теперь сервер не будет
     рассылать широковещательные запросы о локальных MAC адресах, т. к. все они
     статически жестко привязаны к ip-адресам. Этим убивается два зайца: не
     рассылаются широковещательные запросы, что экономит траффик и время
     на ответ сервера, и не позволяет пользователю менять свой ip-адрес,
     т. к. сервер все равно пакет будет отправлять на жестко привязанный
     MAC адрес.
 
10.11.2004 , Автор: Krigs , Источник: http://www.opennet.me/openforum/vsl...
Ключи: mac, arp, limit
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Ethernet, ARP, привязка MAC адресов.

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Аноним (1), 15:56, 10/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если бы ещё это работало на WinXP и Win2000 :)
    Что мешает поменять срази И ip-адрес И mac-адрес???
    Ответ: НИЧЕГО.
    Если у пользователя на данных системах есть права на изменение IP-адреса, то и MAC-адрес он так же
    легко изменит на несколько секунд, даже не перегружая компьютер. Ну отловит arpwatch изменение, когда нет меня на работе, узнаю ПОТОМ об этом. Заблокировать-то этот сеанс он не сможет.
    Это же не циска или интеллектуальный свитч с привязкой адрес/порт.
     
  • 1.2, Дмитрий Ю. Карпов (?), 22:59, 10/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А я сделал немного совсем иначе. У меня работал ISC-DHCP с привязкой IP-MAC; так что данные я брал прямо из dhcpd.conf, преобразовывая через grep и sed. Из того же dhcpd.conf я делал DNS-зоны (прямую и реверсную) для раб.станций.
     
     
  • 2.5, Yurik (??), 00:32, 13/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и толку что там у Вас на сервере. Я как клиент ставлю себе чужой IP+MAC вручную и работаю от чужого имени независимо от наличия DHCP сервера.
     

  • 1.3, lb (?), 00:15, 11/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если уж dhcp, то брать из leases
     
  • 1.4, lesha (??), 14:21, 11/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    зачем такие сложности?

    arp -f /etc/ethers

     
  • 1.6, solaris (??), 00:13, 16/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эм... Мониторить юзера меняющего МАС можно по разному. Ничего не мешает ему его сменить. Согласен. И вычислить это тяжело. Определяется это только косвенным путем. Можно отловить на том, что он забыл поменять имя компа, тогда при выводе статы arp выдаст подмену (если ранее велись логи arp). Можно поймать на коннекте к известному внутреннему серверу ника с другого IP. В общем, если они нас обманывают, то и мы должны поступать также! ;)

    А еще можно поставить на мониторинг весь arp траффик и смотреть (анализируя логи) в случае обращения о подмене и краже $$$ сначала на логи сессий биллинга (надо же узнать когда инет был украден), а потом и на arp базу. Там сделать запрос по времени и посмотреть кого из МАСов небыло ;)
    Для реализации последнего нужно всего лищи сбрасывать ARP траф в БД. Кто как конкретно делать будет я не знаю, но нечто подобное я организовал у себя в сетке. Знаете, помогает, что самое интересное :)

    --------------------------------

    А по поводу статьи... Она более подходит для улучшения уровня безопастности, например, маршрутизатора, который не должен отвечать на запросы посторонних, а должен только перебрасывать  трафик от одного такого же роутера к другому.

    Это ИМХО...

     
  • 1.7, XoRe (??), 10:38, 20/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Привязка ip адреса к мак адресу не является препятствием для человека, которому нужно поменять себе ip адрес в сети.
    По этому она _может_ служить _дополнением_ к авторизации по логину+паролю.

    А реализована она может быть хоть на sh, С, хоть на Ассемблере.

     
  • 1.8, Barsuk (??), 22:42, 23/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На одном форуме нашел вот такое решение:
    ----------------
    Цитата:
    Небольшое письмо от Romana Y. Bogdanova:
    ... Сегодня обнаружил интересную штуку для FreeBSD начиная с 4.10 (стабильная ветка). В ней появилась замечательная возможность настройки интерфейсов для homenet провайдеров. Режим, когда интерфейс отвечает только на те адреса, которые статически записаны в ARP таблицу машины.

    Вот кусок из ifconfig:

    staticarp If the Address Resolution Protocol is enabled, the host will only reply to requests for its addresses, and will never send any requests.

    -staticarp If the Address Resolution Protocol is enabled, the host will per- form normally, sending out requests and listening for replies.
    поподробнее можно?
    -------------------------
    vi /etc/rc.conf
    ищете строчки типа ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0" и добавляете в них staticarp. После этого создаете в каталоге /usr/local/etc/rc.d файл arp.sh с примерно следующим содержимым:

    #!/bin/sh

    arp -s 192.168.1.2 00:00:00:00:00:00 # Vasya
    arp -s 192.168.1.3 11:11:11:11:11:11 # Petya

    После этого перезагружаете маршрутизатор или если перезагружать не хочется, то запускаете просто файлик /usr/local/etc/rc.d/arp.sh и говорите ifconfig xl0 +staticarp.
    В результате пользователь Vasya никогда в жизни не сможет себе назначить ip-адрес пользователя Petya, или если точнее - он не сможет с этип ip-адресом пройти дальше маршрутизатора. Клиенты довольны, кул хацкеры в унынии. Voila.
    -----------

    Чем это принципиально отличается от сабжа?

     
     
  • 2.9, Yurik (??), 00:11, 24/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >На одном форуме нашел вот такое решение:
    >Чем это принципиально отличается от сабжа?
    Яйца - вид сбоку :-))
     

  • 1.10, godegisel (?), 17:36, 03/12/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот это забавно:
    arp -ad > null
     
  • 1.11, Lelik (??), 06:32, 21/12/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может быть не совесм по теме, но вопрос такй:
    большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать от виича вручную!!! Но это же ... Ну в общем понятно что не катит.
    На серваке работает DHCP, но это никак не помешает поставить ИП руками.
    Предложеным вами методо можно блокировать доступ к серверу, но к шарам юзверей доступ то останется.
    Как быть?
     
     
  • 2.12, Yurik (??), 22:14, 21/12/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Может быть не совесм по теме, но вопрос такй:
    >большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые
    >свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать
    >неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать
    >от виича вручную!!! Но это же ... Ну в общем понятно
    другого метода не существует. если данные гоняются только на физическом уровне (кабеля), то и отрубать можно только на физическом. если лень ходить пешком к свичам сделайте какой-нить самодельный комутатор, можно смастерить на реле и управлять набором DTMF сигналов разной частоты используя свободную пару проводов в кабеле который идёт к вашему офису (каждому юзеру присвоить частоту НЧ сигнала) или возможно проще простешее пересчётное устройство (K155ИД3) которое управляет усилителями тока на транзисторах для реле. В любом случае стоимость одного такого комутатора на 8 портов будет в пределах $20.
     
     
  • 3.13, tin (??), 16:20, 24/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>Может быть не совесм по теме, но вопрос такй:
    >>большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые
    >>свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать
    >>неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать
    >>от виича вручную!!! Но это же ... Ну в общем понятно

    Подумываю над использованием arp-sk для выдачи ложных пар IP-MAC злосным неплательщикам. Как что-то получится - расскажу.

     
     
  • 4.14, Maxim (??), 16:46, 13/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Подумываю над использованием arp-sk для выдачи ложных пар IP-MAC злосным неплательщикам. Как
    >что-то получится - расскажу.
    ну выдашь ты им неправильные пары. это ничего не изменит. если хакар, то он поменяет ПАРУ IP+MAC. И Твоя замена останется тебе. Если он начинающий, то он не сможет только смотреть ресурсы на сервере.
    и все. вся остальная сеть ему доступна.


     
     
  • 5.17, Леха (?), 14:00, 27/04/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще странный подход к проблеме -когда пользователи подключаются к ДС они  платят как правило баксов 50( стоимость порта в свитче,кабеля,плюс его прокладка итд) логично предположить что пользователь может легко заявить права на уже уплаченное. стало быть внутрисетевые шары для него бесплатны,а интернет платен вот и вся логика,а руководствоваться жадными помыслами своими -не есть гуд.
     

  • 1.15, vizard (??), 13:16, 15/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А можно сначала: какая задача решается таким способом?
     
     
  • 2.16, Susanin_ (??), 23:39, 13/03/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Я сделал так:
    2 типа предоставляемых ресурсов в ДС:
      - Инет
      - Локал
    У каждого абонента есть доступ к странице с билингом - где он может (должен) блокировать/разблокировать свою учетную запись при окончании/начале работы. Эта блокировка ведет к добавлению его ip в писок доступных Iptables шлюза (через выполнение скрипта). Локал пока бесплатна, но можно и перед ней поставить шлюз и через тот-же скрипт определять список разрешенных IP.
    Таким образом вся отвественность за то, что кто-то может подменить ip и сходить в инет за счет честного абонента лежит как раз на совести этого честного абонента. Не заблокировал за собой запись - сам виноват. Как дверь домой не закрыл.
    Стоит тока один раз пройтись кому-то по чужим учетным записям - как сразу все начинают прислушиваться к этим правилам. И не надо никакого гемора с отлавливанием хакеров...
    Спасение утопающего - дело рук самого утопающего! :)
     

  • 1.18, iddqt (?), 05:25, 26/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Технически на 100% данная проблема НЕ РЕШАЕМА.
    Обеспечение безопасности решается оргмерами: закрытие неиспользуемых портов на свитчах, охрана производственных помещений. Не должно быть ни одной пары, розетки или порта, доступного несанкционированным образом. И все равно это не 100%!
     
  • 1.19, comprat (?), 14:16, 15/07/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не страдайте. найкращий варіант використовувати РРРоЕ. заборгував юзер - забанив акаунт.
     
  • 1.20, myllgpa (ok), 17:00, 11/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Меня данная проблема мучает уже два года.
    Умный свич проблему не решает народ атакует его
    буфер.Да и дорогое это удовольствие если сеть большая.PPPoE или программы типа 'stargazer'
    для ДС более приземленные варианты.
     
     
  • 2.21, Ph (?), 01:54, 24/09/2005 [^] [^^] [^^^] [ответить]  
  • +/
    1)Умные свитчи при атаке на порт умеют его отключать.
    2)Умные свитчи - от 500 у.е за 24 порта.
     
     
  • 3.22, рьв (?), 18:36, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Кто или что мешает VPN использовать ?
     
     
  • 4.23, Andrew S. Nurulin (?), 16:25, 06/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А как можно защитить несанкционированный доступ к VPN в случае кражи пароля? У меня как раз такой сервер, только что озадачился этим вопросом...
     
     
  • 5.24, key (??), 13:34, 08/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >А как можно защитить несанкционированный доступ к VPN в случае кражи пароля?
    >У меня как раз такой сервер, только что озадачился этим вопросом...
    >
    А как можно защитить несанкционированный доступ к  квартире
    в случае кражи ключа?

    Точно также-не давать возможность его украсть.

     

  • 1.25, brag (?), 15:01, 28/01/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проще всего не трахацца,а переписать с нуля имплемент арпа,чтобы кормить ему файлик с маками и айпишками.посути без поддержки арпа,как такового.жесто ядру дал таблицу и все
     
  • 1.26, DELit (?), 12:02, 01/03/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я сделал так, создал скрипт /usr/local/etc/rc.d/arptable.sh (шаблонно переписав существующий):

    #!/bin/sh
    #
    # PROVIDE: arptable
    # REQUIRE: NETWORKING SERVERS
    # KEYWORD: arptable
    #
    # NOTE: set arptable_enable="YES" in /etc/rc.conf to enable this
    #


    name=arptable
    command="/usr/sbin/arp"

    start_cmd="arptable_start"

    stop_cmd="arptable_stop"

    arptable_enable=${arptable_enable:-"NO"}
    arptable_config=${arptable_config:-"/etc/arptable.conf"}

    arptable_stop() {
            $command -ad
    }

    arptable_start() {
            $command -f $arptable_config
    }

    . /etc/rc.subr
    rcvar='set_rcvar'
    load_rc_config ${name}

    run_rc_command "$1"


    после этого в /etc/arptable.conf прописал IP и MAC-адреса в форме:

    10.11.109.1 00:00:00:00:00:00 pub
    10.11.109.53 00:00:00:00:00:00 pub

    (немного поработав, можно было бы избавиться от необходимости писать pub в конце строки, но, поскольку sed рулит, то проблемы тут нет)

    После этих манипуляций в /etc/rc.conf можно вписать
    arptable_enable="YES" # включить таблицу соответствия IP-MAC

    arptable_config="/etc/arptable.conf" # откуда берем конфиг. Работает без проблем. И вживляется в систему чисто.

     
     
  • 2.28, brag (??), 16:00, 13/06/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Фигня эти все привязки. меняется за считаные секунды, даже на винде.
    я лично юзаю squid с аутентикацией и ssl. практикую и vpn каждому юзеру,тоже неплохо.
    Надежно и до лампочки все снифферы итп
     

  • 1.29, Folder (?), 18:37, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Господа, кто-то из вас знает, как задать для выбранного IP, любой MAC? Я использую привязку, но при подключении нового клиента, MAC которого еще не известен, возникает проблема доступа его машины к шлюзу. Может есть что-то вроде arp –s 192.168.0.1 any :)
     
     
  • 2.30, Yurik (??), 00:49, 29/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Господа, кто-то из вас знает, как задать для выбранного IP, любой MAC?

    Не задавать для этого IP

    >Я использую привязку, но при подключении нового клиента, MAC которого еще
    >не известен, возникает проблема доступа его машины к шлюзу.

    Это очевидно потому, что вы в цикле сделали для всего диапазона привязку к несуществующему адресу

    for ((  i = 1 ;  i < 255;  i++  ))
    do
      arp -s 192.168.0.$i FF:FF:FF:FF:FF:FF
    done

    > Может есть что-то вроде arp –s 192.168.0.1 any :)

    да, arp -d 192.168.0.1


     
     
  • 3.31, poBEDA (ok), 03:08, 02/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Доброй ночи! Может быть я и ошибся темой, но для меня очень актуальна такая проблема:
    кто-то ворует траффик на интернет, воруя МАК-адрес, при этом называет компьютер типа ВОРМ или Троян, айпи не меняет.

    Живу в общежитии. У нас несколько групп безлимитного интернета. Моя группа имеет диапазон адресов от 192.168.10.150(роутер) до 192.168.10.175. Соответственно удивлен был, когда интерес роутера (D-Link DIR-120) обнаружил некого(ую) 192.168.10.189. Через коммандер и команду арп вычислил, что у 189 и у 175 из моей группы один и тот же МАК-адрес. Так как в сети нашей более 100 компьютеров, то физическим методом отключения проводов нереально вычислить вора.

    Вопрос:
    1) можно ли как-то с этим бороться?
    2) поможет ли привязка мака к айпи от воровства траффика (просто человек сразу грузит торренты и забивает канал, который рассчитан на 24 человека).

    Заранее благодарен и прошу прощения, если не там написал сообщение.

     
     
  • 4.32, Yurik (??), 04:36, 02/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >1) можно ли как-то с этим бороться?

    Можно управляемыми свичами, которые позволяют на физический порт програмировать условия фильтрации (по МАС или диапазону МАС например)

    >2) поможет ли привязка мака к айпи от воровства траффика (просто человек
    >сразу грузит торренты и забивает канал, который рассчитан на 24 человека).

    Не поможет.

    > Так как в сети нашей более 100 компьютеров, то физическим методом отключения проводов нереально вычислить вора.

    Не все же 100 ПК включены в один свич, отключение целого сегмента резко сужает круг поиска. Вычислить вора можно не более чем за ~10 отключений.

    Но вообще идея аутентификации для доступа в инет через МАС-и нелепа, для этого есть PPPoE или VPN

     
     
  • 5.33, poBEDA (ok), 13:29, 02/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Сегментами - это вариант, но сегодня я его вижу наиболее геморойным, так как проблемы доступа к свитчам, поэтому я его оставляю заранее на конец.

    Можно ли сделать аутентификацию через PPPoE или VPN, используя роутер D-Link DIR-120?
    Если да, как это можно сделать?

    П.С. Если пользуешься асей, стукни плиз, если не сложно. 239219697.

     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру